安全419在一个月前以快讯形式对红十字国际委员会数据被盗事件进行了报道,当时相关发言人并没有披露过多的受攻击信息,他们当时的说法是:“不知道是谁对一家存储其数据的瑞士公司实施了网络攻击,同时也不知道数据是否已被泄露或公开共享。”
我们同样持续关注着该事件的进一步演进,现在进一步的信息得以披露,红十字国际委员会后续表示,攻击者于2021年11月9日利用未修补的严重漏洞入侵,而此次入侵利用的漏洞正是前文 ZOHO 曾在数月前就已发布补丁的 CVE-2021-40539。至此,针对该次攻击已变成一个“生动的案例”。
未修补的漏洞依然是黑客展开攻击的主要利用方式
也就是说,这又是一起典型的未修复的 Nday 漏洞利用。
此前,行业相关报告就曾披露,未修补的漏洞依然是黑客展开攻击的主要利用方式。他们给出的观点是,无论是利用最新漏洞,还是老旧漏洞,只要对攻击入侵有效,攻击者统统不会放过。在他们的攻击武器库当中,漏洞利用仍是主力。
此前,行业相关报告就曾披露,未修补的漏洞依然是黑客展开攻击的主要利用方式。他们给出的观点是,无论是利用最新漏洞,还是老旧漏洞,只要对攻击入侵有效,攻击者统统不会放过。在他们的攻击武器库当中,漏洞利用仍是主力。
令人担心的是什么?有安全组织称,在2021年之前发现的223个旧漏洞中,有56%仍在被勒索软件集团频繁利用。其中有两个词,“利用”和“仍在”,这说明旧漏洞对攻击仍然有效。就像是红十字国际委员会的这次攻击,两个月前官方就已经修复了漏洞,但他们并没有选择更新安全补丁。
应对方法论的建立是关键 重视程度和预算紧缺亦是主因
知道创宇404实验室总监隋刚在接受安全419就该话题采访时表示,微妙的网络安全形势正是如此,之所以企业和组织总是会被已经爆出的漏洞所攻击(突破),主要是仍然有大量的企业没有建立起有效的应对方法论,包括应急预案、安全防护产品和工具。
“如果企业没有被攻击过,他就不会认为网络安全问题是一个大问题,这是一种广泛存在的侥幸心理,但对于已经被攻击的企业而言,他们通常又难以承受遭受攻击所带来的严重危害。”可见,造成这一现象的深层原因实际上还是企业对安全的重视不够。
企业还应该有这一样一个认知,种种安全迹象都表明,仅以自身的力量来对抗黑客攻击,相关运维人员恐怕要付出200%的精力也难以平衡自身安全。
隋刚认为这与信息系统的构成复杂度有关,在整个软硬件供应链中每一个环节都可能会暴露出威胁,所以建立安全能力,包括工具、防御产品、服务在内的应对方法,则需要第三方专业网络安全厂商来提供。
隋刚指出,企业应该评估保障在线业务持续运营的重要性,和受到攻击之后的损失,以便进一步评估划拨充足预算来建设相应安全能力的必要性。
“仍然以最有效的漏洞攻击为例,如利用威胁情报等安全服务提前获悉相关威胁,再通过安全产品对资产随时进行摸清排查,随后进行全面的修复加固,就是一种有效的应对方案。”隋刚说。
在线业务必须保障连续性 硬性的防护产品必不可少
仍然以漏洞攻击为例,安全419观察发现,来自上游供应链已经开始尝试使用新的方法,来缓解用户迟迟不更新安全补丁的这一传统“陋习”,比如在全球拥有大量企业用户的 WordPress 最近就通过强制安装更新来解决最近被发现的一个高危漏洞。
隋刚则认为,WordPress 的这一行为所对应的目的值得鼓励,但行为本身需要进一步观察。
他指出,一方面漏洞需要及时修复,但也要考虑用户业务系统部署的实际场景,以企业的关键业务以及服务大众的关键基础设施为例,必须保障在线业务的连续性,是不允许中断服务的,这也是一些特殊行业在漏洞修复时所面对的困境之一;另一方面,这种强行更新的推送机制本身也存在安全风险,如果黑客从中找到可利用的方式,入侵将更为直接。
“所以选择权还是放在用户手中比较好,系统中任何一项改动都需谨慎处理,所以硬性的网络安全防护产品在解决企业全方位网络安全问题当中仍然必不可少。”隋刚进一步表示称,以保障在线业务持续运行的知道创宇云防护服务为例,用户一侧实际上就不必再为漏洞攻击所扰。
这也是云防御的高价值所在,它在为企业在线业务提供保障的技术手段全部前置到云端,用户一则就可以有充裕的时间规划来安排解决繁杂的系统漏洞等方面的安全性更新问题。
法律明确规定漏洞补救办法 安全厂商可以做的更多
我国的《网络安全法》规定,“网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”;“网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。”
《网络安全法》还对企业一侧做出规定,提出“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险”;“在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”
这就意味着,来自于漏洞攻击的安全处置机制已有上位法作出了明确规定,产品供应商需及时对漏洞采取补救措施,如发布安全补丁,企业一方则需要及时作出响应,以预案形式来有效应对相应风险。具体解读,要包括对漏洞及时修复,以及防御能力的建设等。
美国网络安全和基础设施安全局(CISA)在年初发布的一份报告就披露,一份已知被利用漏洞列表当中共包含15个漏洞,其中只有4个是最新漏洞,属于 0day 漏洞范畴,剩余的11个漏洞均可追溯更远历史,而且他们都有属于各自的 CVE 编号。这也意味着,相关厂商均为其提供过安全修复工作,而企业和组织在漏洞修复上则行动缓慢。
另据安全419此前采访多家安全企业了解获悉,国内同样存在这一现象,企业一侧的漏洞修复滞后广泛存在。
那么在法律要求的闭环应对措施当中,现状是仍然会留有大量安全威胁,最大的问题会出在哪呢?其实是企业一方如何及时获悉风险的发生。并不是所有的漏洞都像阿帕奇 Log4j2 那般轰动,几乎所有的企业都在加班加点的忙着修复,事实上大量的安全漏洞并不被企业所获悉,这才导致攻击一方的漏洞利用仍然更为有效。
隋刚进一步表示,原本安全厂商可以为企业做的更多,知道创宇404实验室此前根据他们开发维护的两款产品 ZoomEye 网络空间搜索引擎以及 Seebug 漏洞社区的能力,会经常对外发布相关的最新漏洞研究报告,用于为企业提供预警修复。现在出于政策监管方面的原因,相关能力已经被收紧限制。
写在最后:基于漏洞开展攻击只增不减
当全球网络犯罪将目光瞄向以勒索攻击为主要的最终攻击形式之时,这种更具目的性(赎金)的攻击也会使网络安全威胁逐渐放大。而漏洞利用则是突破企业网络最有效的攻击方式,在威胁面更广泛的勒索软件即服务模式下,大量的已有漏洞利用就已被添加到可以被无技术背景攻击者使用的便捷工具当中。
这也意味着,未来黑客组织基于漏洞开始攻击只会增不会减,企业务必要采取有效措施积极应对。